Android.Triada.5509

Техническая информация

Вредоносные функции:

Выполняет код следующих детектируемых угроз:

Android.Triada.418.origin

Сетевая активность:

Подключается к:

UDP(DNS) 8####.8.4.4:53
TCP(HTTP/1.1) a####.u####.com:80
TCP(TLS/1.0) and####.a####.go####.com:443
TCP(TLS/1.0) gmscomp####.google####.com:443
TCP(TLS/1.0) p####.google####.com:443
TCP(TLS/1.0) pla####.google####.com:443
TCP(TLS/1.0) rr13---####.g####.com:443
TCP(TLS/1.2) gmscomp####.google####.com:443
TCP(TLS/1.2) 64.2####.162.94:443

Запросы DNS:

a####.u####.com
and####.a####.go####.com
and####.google####.com
b####.bj####.com
b####.bj####.com.####.8
gmscomp####.google####.com
p####.google####.com
pla####.google####.com
q####.qi1####.com
q####.qi1####.com.####.8
qyc####.qi1####.com
qyc####.qi1####.com.####.8
rr13---####.g####.com
z####.wann####.com
z####.wann####.com.####.8
zxc####.wann####.com
zxc####.wann####.com.####.8

Запросы HTTP POST:

a####.u####.com/app_logs

Изменения в файловой системе:

Создает следующие файлы:

/data/dalvik-cache/####/system@framework@am.jar@classes.dex.flo...leted)
/data/data/####/.imprint
/data/data/####/0.png
/data/data/####/00loading1.csb
/data/data/####/01fengmian.csb
/data/data/####/02cundang1.csb
/data/data/####/02cundang2.csb
/data/data/####/02cundang3.csb
/data/data/####/03xuanren.csb
/data/data/####/04fugao.csb
/data/data/####/07paused.csb
/data/data/####/08main.csb
/data/data/####/09tuichu.csb
/data/data/####/1.mp3
/data/data/####/1.png
/data/data/####/10.mp3
/data/data/####/10.png
/data/data/####/10die.csb
/data/data/####/11.mp3
/data/data/####/11.png
/data/data/####/11jianzao.csb
/data/data/####/12.mp3
/data/data/####/12.png
/data/data/####/12loading.csb
/data/data/####/13.mp3
/data/data/####/13.png
/data/data/####/13shezhi.csb
/data/data/####/14.mp3
/data/data/####/14.png
/data/data/####/14help.csb
/data/data/####/14help2.csb
/data/data/####/15.mp3
/data/data/####/15.png
/data/data/####/15libao1.csb
/data/data/####/16.mp3
/data/data/####/16.png
/data/data/####/16libao2.csb
/data/data/####/17.mp3
/data/data/####/17.png
/data/data/####/17libao3.csb
/data/data/####/18.mp3
/data/data/####/18.png
/data/data/####/18libao4.csb
/data/data/####/19.mp3
/data/data/####/19.png
/data/data/####/19libao5.csb
/data/data/####/2.mp3
/data/data/####/2.png
/data/data/####/20.mp3
/data/data/####/20.png
/data/data/####/20libao6.csb
/data/data/####/21.mp3
/data/data/####/21.png
/data/data/####/21map.csb
/data/data/####/22.png
/data/data/####/23.png
/data/data/####/24.png
/data/data/####/25.png
/data/data/####/26.png
/data/data/####/27.png
/data/data/####/28.png
/data/data/####/29.png
/data/data/####/3.mp3
/data/data/####/3.png
/data/data/####/30.png
/data/data/####/31.png
/data/data/####/32.png
/data/data/####/33.png
/data/data/####/34.png
/data/data/####/4.mp3
/data/data/####/4.png
/data/data/####/5.mp3
/data/data/####/5.png
/data/data/####/6.mp3
/data/data/####/6.png
/data/data/####/7.mp3
/data/data/####/7.png
/data/data/####/8.mp3
/data/data/####/8.png
/data/data/####/9.mp3
/data/data/####/9.png
/data/data/####/974158bde23a7bee714c3fa2d1a3c525
/data/data/####/Alvin2.xml
/data/data/####/BOSS1.csb
/data/data/####/BOSS10.plist
/data/data/####/BOSS10.png
/data/data/####/BOSS2.csb
/data/data/####/BOSS20.plist
/data/data/####/BOSS20.png
/data/data/####/Button_Disable.png
/data/data/####/Cocos2dxPrefsFile.xml
/data/data/####/ContextData.xml
/data/data/####/SP_REPLACE_CLASSLOADER_CLASS_NAME.xml
/data/data/####/SP_REPLACE_CLASSLOADER_CLASS_NAME.xml.bak
/data/data/####/TextAtlas.png
/data/data/####/anniu1.png
/data/data/####/anniu2.png
/data/data/####/anniu3.png
/data/data/####/anniu4.png
/data/data/####/baidu
/data/data/####/base.dex
/data/data/####/base.dex.flock (deleted)
/data/data/####/beibao.png
/data/data/####/beibao1.png
/data/data/####/cc.db
/data/data/####/cc.db-journal
/data/data/####/chg_kefu.png
/data/data/####/config.properties
/data/data/####/cundang01.png
/data/data/####/cundang02.png
/data/data/####/cundang03.png
/data/data/####/cundang04.png
/data/data/####/cundang06.png
/data/data/####/cundang07.png
/data/data/####/cundang08.png
/data/data/####/cundang09.png
/data/data/####/cundang10.png
/data/data/####/cundang11.png
/data/data/####/di01.png
/data/data/####/die00.png
/data/data/####/die01.png
/data/data/####/die02.png
/data/data/####/die03.png
/data/data/####/die04.png
/data/data/####/die05.png
/data/data/####/die06.png
/data/data/####/die07.png
/data/data/####/die08.png
/data/data/####/die09.png
/data/data/####/die10.png
/data/data/####/die11.png
/data/data/####/ditujiazai.csb
/data/data/####/ditujiazai0.plist
/data/data/####/ditujiazai0.png
/data/data/####/exchangeIdentity.json
/data/data/####/exid.dat
/data/data/####/feixing_diren1.csb
/data/data/####/feixing_diren10.plist
/data/data/####/feixing_diren10.png
/data/data/####/feixing_diren2.csb
/data/data/####/feixing_diren20.plist
/data/data/####/feixing_diren20.png
/data/data/####/feixing_diren3.csb
/data/data/####/feixing_diren30.plist
/data/data/####/feixing_diren30.png
/data/data/####/feixing_zhongli1.csb
/data/data/####/feixing_zhongli10.plist
/data/data/####/feixing_zhongli10.png
/data/data/####/feixing_zhongli2.csb
/data/data/####/feixing_zhongli20.plist
/data/data/####/feixing_zhongli20.png
/data/data/####/feixing_zhongli3.csb
/data/data/####/feixing_zhongli30.plist
/data/data/####/feixing_zhongli30.png
/data/data/####/fengmian00.png
/data/data/####/fengmian02.png
/data/data/####/fengmian03.png
/data/data/####/fengmian04.png
/data/data/####/fengmian05.png
/data/data/####/fugao00.png
/data/data/####/fugao01.png
/data/data/####/fugao04.png
/data/data/####/getprop
/data/data/####/help.png
/data/data/####/help1.png
/data/data/####/help2.png
/data/data/####/help3.png
/data/data/####/help4.png
/data/data/####/help5.png
/data/data/####/help6.png
/data/data/####/helper
/data/data/####/hero1.png
/data/data/####/hero_boy.csb
/data/data/####/hero_boy0.plist
/data/data/####/hero_boy0.png
/data/data/####/hero_girl.csb
/data/data/####/hero_girl0.plist
/data/data/####/hero_girl0.png
/data/data/####/hero_jiqiren.csb
/data/data/####/hero_jiqiren0.plist
/data/data/####/hero_jiqiren0.png
/data/data/####/icon1.png
/data/data/####/icon10.png
/data/data/####/icon11.png
/data/data/####/icon12.png
/data/data/####/icon2.png
/data/data/####/icon5.png
/data/data/####/icon8.png
/data/data/####/icon9.png
/data/data/####/irm8o8i2skmzkmbe.dex
/data/data/####/irm8o8i2skmzkmbe.dex.flock (deleted)
/data/data/####/jiage.png
/data/data/####/jiage15.png
/data/data/####/jiage18.png
/data/data/####/jiage20.png
/data/data/####/jiazai.png
/data/data/####/kefu.png
/data/data/####/kuangshi.csb
/data/data/####/kuangshi0.plist
/data/data/####/kuangshi0.png
/data/data/####/libao1.png
/data/data/####/libao10.png
/data/data/####/libao11.png
/data/data/####/libao12.png
/data/data/####/libao13.png
/data/data/####/libao14.png
/data/data/####/libao15.png
/data/data/####/libao16.png
/data/data/####/libao17.png
/data/data/####/libao18.png
/data/data/####/libao19.png
/data/data/####/libao2.png
/data/data/####/libao20.png
/data/data/####/libao22.png
/data/data/####/libao23.png
/data/data/####/libao3.png
/data/data/####/libao4.png
/data/data/####/libao5.png
/data/data/####/libao6.png
/data/data/####/libao7.png
/data/data/####/libao8.png
/data/data/####/libao9.png
/data/data/####/libgame.so
/data/data/####/libhelper.so
/data/data/####/libsmsmanager.so
/data/data/####/libzxvps.so
/data/data/####/light2d.frag
/data/data/####/light2d.vert
/data/data/####/loading.ExportJson
/data/data/####/loading.csb
/data/data/####/loading0.plist
/data/data/####/loading0.png
/data/data/####/lor.png
/data/data/####/main01.png
/data/data/####/main02.png
/data/data/####/main03.png
/data/data/####/main04.png
/data/data/####/main05.png
/data/data/####/main06.png
/data/data/####/main07.png
/data/data/####/main08.png
/data/data/####/main09.png
/data/data/####/main10.png
/data/data/####/main11.png
/data/data/####/main12.png
/data/data/####/main13.png
/data/data/####/main14.png
/data/data/####/main15.png
/data/data/####/main16.png
/data/data/####/main17.png
/data/data/####/main18.png
/data/data/####/main20.png
/data/data/####/main21.png
/data/data/####/main23.png
/data/data/####/main24.png
/data/data/####/main25.png
/data/data/####/main28.png
/data/data/####/main30.png
/data/data/####/main31.png
/data/data/####/main32.png
/data/data/####/main33.png
/data/data/####/main34.png
/data/data/####/main35.png
/data/data/####/main36.png
/data/data/####/main37.png
/data/data/####/main38.png
/data/data/####/make1.png
/data/data/####/make2.png
/data/data/####/make3.png
/data/data/####/make4.png
/data/data/####/make5.png
/data/data/####/make6.png
/data/data/####/make7.png
/data/data/####/map_01.jpg
/data/data/####/map_02.jpg
/data/data/####/map_03.jpg
/data/data/####/map_04.jpg
/data/data/####/map_05.jpg
/data/data/####/map_06.jpg
/data/data/####/map_07.jpg
/data/data/####/map_08.jpg
/data/data/####/map_09.jpg
/data/data/####/map_10.jpg
/data/data/####/map_11.jpg
/data/data/####/map_12.jpg
/data/data/####/map_13.jpg
/data/data/####/map_14.jpg
/data/data/####/map_15.jpg
/data/data/####/map_16.jpg
/data/data/####/map_17.jpg
/data/data/####/map_18.jpg
/data/data/####/map_19.jpg
/data/data/####/map_20.jpg
/data/data/####/map_21.jpg
/data/data/####/map_22.jpg
/data/data/####/map_23.jpg
/data/data/####/map_24.jpg
/data/data/####/map_25.jpg
/data/data/####/map_26.jpg
/data/data/####/map_27.jpg
/data/data/####/map_28.jpg
/data/data/####/map_29.jpg
/data/data/####/map_30.jpg
/data/data/####/map_31.jpg
/data/data/####/map_32.jpg
/data/data/####/map_33.jpg
/data/data/####/map_34.jpg
/data/data/####/map_35.jpg
/data/data/####/map_36.jpg
/data/data/####/map_37.jpg
/data/data/####/map_38.jpg
/data/data/####/map_39.jpg
/data/data/####/map_40.jpg
/data/data/####/map_41.jpg
/data/data/####/map_42.jpg
/data/data/####/map_43.jpg
/data/data/####/map_44.jpg
/data/data/####/map_45.jpg
/data/data/####/map_46.jpg
/data/data/####/map_47.jpg
/data/data/####/map_48.jpg
/data/data/####/map_49.jpg
/data/data/####/map_50.jpg
/data/data/####/map_51.jpg
/data/data/####/map_52.jpg
/data/data/####/map_53.jpg
/data/data/####/map_54.jpg
/data/data/####/map_55.jpg
/data/data/####/map_56.jpg
/data/data/####/map_57.jpg
/data/data/####/map_58.jpg
/data/data/####/map_59.jpg
/data/data/####/map_60.jpg
/data/data/####/map_61.jpg
/data/data/####/map_62.jpg
/data/data/####/map_63.jpg
/data/data/####/map_64.jpg
/data/data/####/name02.png
/data/data/####/paused01.png
/data/data/####/paused02.png
/data/data/####/paused03.png
/data/data/####/paused04.png
/data/data/####/paused05.png
/data/data/####/paused06.png
/data/data/####/pid
/data/data/####/proc_auxv
/data/data/####/qy_db_pay
/data/data/####/qy_db_pay-journal
/data/data/####/shouzhi.png
/data/data/####/shu.csb
/data/data/####/shu0.plist
/data/data/####/shu0.png
/data/data/####/shuoming1.png
/data/data/####/shuoming2.png
/data/data/####/shuoming3.png
/data/data/####/shuoming4.png
/data/data/####/shuoming5.png
/data/data/####/shuoming6.png
/data/data/####/shuzi01.png
/data/data/####/tuichu01.png
/data/data/####/tuichu02.png
/data/data/####/tuichu03.png
/data/data/####/ua.db
/data/data/####/ua.db-journal
/data/data/####/umeng_general_config.xml
/data/data/####/umeng_general_config.xml.bak
/data/data/####/umeng_it.cache
/data/data/####/unknown.xml
/data/data/####/uvp.sdjb.yslin.ZZZ_07
/data/data/####/uvp.sdjb.yslin.ZZZ_07 (deleted)
/data/data/####/xiaoguai1.csb
/data/data/####/xiaoguai10.plist
/data/data/####/xiaoguai10.png
/data/data/####/xiaoguai2.csb
/data/data/####/xiaoguai20.plist
/data/data/####/xiaoguai20.png
/data/data/####/xiaoguai3.csb
/data/data/####/xiaoguai30.plist
/data/data/####/xiaoguai30.png
/data/data/####/xiaoguai4.csb
/data/data/####/xiaoguai40.plist
/data/data/####/xiaoguai40.png
/data/data/####/xiaoguai5.csb
/data/data/####/xiaoguai50.plist
/data/data/####/xiaoguai50.png
/data/data/####/xuanren01.png
/data/data/####/xuanren02.png
/data/data/####/xuanren03.png
/data/data/####/xuanren04.png
/data/data/####/xuanren05.png
/data/data/####/xuanren06.png
/data/data/####/xuanren07.png
/data/data/####/xuanren08.png
/data/data/####/xuanren09.png
/data/data/####/xuanren10.png
/data/data/####/xuanren11.png
/data/data/####/xuanren12.png
/data/data/####/yingzi.csb
/data/data/####/yingzi0.plist
/data/data/####/yingzi0.png
/data/data/####/yizi.png
/data/data/####/zhez1.png
/data/data/####/zhez2.png
/data/data/####/zhez3.png
/data/data/####/zhez4.png
/data/data/####/zhiwu.ExportJson
/data/data/####/zhiwu.csb
/data/data/####/zhiwu0.plist
/data/data/####/zhiwu0.png
/data/data/####/zhizao01.png
/data/data/####/zhizao02.png
/data/data/####/zhizao03.png
/data/data/####/zhizao04.png
/data/data/####/zhizao05.png
/data/data/####/zhongli1.csb
/data/data/####/zhongli10.plist
/data/data/####/zhongli10.png
/data/data/####/zhongli2.csb
/data/data/####/zhongli20.plist
/data/data/####/zhongli20.png
/data/data/####/zhongli3.csb
/data/data/####/zhongli30.plist
/data/data/####/zhongli30.png
/data/data/####/zhongli4.csb
/data/data/####/zhongli40.plist
/data/data/####/zhongli40.png
/data/media/####/Alvin2.xml
/data/media/####/ContextData.xml
/data/media/####/device

Другие:

Запускает следующие shell-скрипты:

app_process /system/bin com.android.commands.am.Am startservice --user 0 -n <Package>/com.google.android.gms.analytics.CampaignTrackingService
cat /sys/block/mmcblk0/device/cid
cd <Package Folder>
chmod 777 /data/user/0/<Package>/files/_zx_lib/helper
dd if=/data/user/0/<Package>/files/_zx_lib/libhelper.so of=/data/user/0/<Package>/files/_zx_lib/helper
df
getprop
ls -l /system/bin/su
ps | grep <Package>
sh

Загружает динамические библиотеки:

libek1esk039m76de0w
libgame
libhelper
libsmsmanager
libzxvps

Использует следующие алгоритмы для шифрования данных:

AES-CBC-PKCS5Padding
AES-CBC-PKCS7Padding
AES-ECB-PKCS5Padding
DES-ECB-NoPadding
RSA-ECB-PKCS1Padding

Получает информацию о сети.

Получает информацию о телефоне (номер, IMEI и т. д.).

Получает информацию об установленных приложениях.

Парсит информацию из SMS.

Получает информацию об отправленых/принятых SMS.

Запрашивает разрешение на отображение системных уведомлений.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней